awsにおけるセキュリティの考え方

AWSにおけるセキュリティの考え方クラスメソッド株式会社 AWSコンサルティング部　森永大志

自己紹介

Morinaga Taishi(@morimoritaitai) AWS Solution Archetect ✦ 趣味 : ゲーム(全般) / 酒 / カメラ ✦ 興味 : DevOps / Security

AWS Certified Solutions Architect - Professional Developer -Associate SysOps Administorator - Associate

最近はもっぱら娘の写真ばかり撮ってます

すんごい可愛いです。

弊社リモートワーク可なので育児しながら仕事してます。

有り難い。。。

会社紹介

Classmethod,Inc.

世の中のクリエイティブに貢献する会社

技術を使って事業会社のお手伝いをする会社

技術を使って事業会社のお手伝いをする会社

AWS / Mobile / BigData IoT / Security and more..

技術大好きエンジニアがたくさん集まっています

そんなエンジニアが書いている弊社メインコンテンツ

Developers.IO

5400本の技術記事 2300本のAWS記事月間100万PV

AWSにおけるセキュリティの考え方

いきなりですが質問です

Q. オンプレとクラウドのどっちが安全でしょう？

A. 適切なセキュリティ対策を施しているほうがより安全

Q. 適切なセキュリティ対策、何をすればよいでしょう？

情報セキュリティとは

機密性完全性可用性

を維持することらしい

認められた人以外は100％情報にアクセスできないような対策？

（機密性）

情報が100％破壊、改ざん、消去されないような対策？

（完全性）

どんなときも100％情報にアクセスできるような対策？

（可用性）

セキュリティに100％はない

でも出来る限り安全を求めたい

それを意識したうえで AWSのセキュリティ

http://aws.amazon.com/jp/security/

「AWS のクラウドセキュリティはまったく手間がかかりません。」

ちょっと言い過ぎ

ユーザ側がやらないといけないことがちゃんとあります。

上司「AWSとの責任分界点どこよ？」

安心して下さい。

定義されてますよ！

https://aws.amazon.com/jp/compliance/shared-responsibility-model/

責任共有モデル

責任共有モデル• • • •

クラウドのこと →AWSが責任を持つよ

クラウドの中でやってること →ユーザが責任を持ってね

AWS Global Infrastructure Edge Location

Region

Availability Zone

AWS Foundation Services

Compute Storage Database Networking

Network Security

Customer Applications & Content

https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf

Inventory & Config

Access Control

Data Security

AWSが責任をもつこと

AWSのサービスを実行するための • ハードウェア • ソフトウェア • ネットワーク • データセンタ

ユーザが責任をもつこと

クラウドの中の • データ • オペレーティングシステム • ネットワーク • アクセス管理 • アプリケーション

AWSを使えばセキュリティから解放される、わけではないです。

が、AWSが責任持ってくれているだけ手間は減る。


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

スコープ外！

http://aws.amazon.com/jp/security/

セキュリティを最も重視する組織の要件を満たすよう構築

セキュリティを最も重視する組織の要件を満たすよう構築

（恐らく）金融機関

PCI DSS Payment Card Industry Data Security Standard

クレジットカード業界のセキュリティ基準

その実は情報セキュリティの具体的な実装要求

PCI データセキュリティ基準 ‒ 概要安全なネットワークとシステム

の構築と維持

1. カード会員データを保護するために、ファイアウォールをインストールして維持する

2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する

6. 安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

7. カード会員データへのアクセスを、業務上必要な範囲内に制限する

8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

11.セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの

維持12.すべての担当者の情報セキュリティに対応するポリシーを維持する

安全なネットワークとシステムの構築と維持1. カード会員データを保護するために、ファイアウォールをインストールして維持する

2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

3. 保存されるカード会員データを保護する

4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する

6. 安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

7. カード会員データへのアクセスを、業務上必要な範囲内に制限する

8. システムコンポーネントへのアクセスを識別・認証する

9. カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

11.セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持12.すべての担当者の情報セキュリティに対応するポリシーを維持する

クレジットカードに限らず個人情報を扱う場合準拠しておきたい基準

PCI DSS関連参考URL

• Official PCI Security Standards Council Site

• PCI DSS v3.0 要件

• PCI DSS v3.0から 3.1 への変更点のまとめ

• PCI DSS v3.1 を取得する方法 | ロードバランスすだちくん

その他AWSが準拠しているコンプライアンス規格

• SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) • SOC 2 • SOC 3 • FISMA, DIACAP, and FedRAMP • DOD CSM Levels 1-5 • ISO 9001 / ISO 27001 • ITAR • FIPS 140-2 • MTCS Level 3 • Criminal Justice Information Services (CJIS) • Cloud Security Alliance (CSA) • Family Educational Rights and Privacy Act

(FERPA) • Health Insurance Portability and Accountability

Act (HIPAA) • Motion Picture Association of America (MPAA)

（補足）準拠しているかはAWSのサービスによって違います https://aws.amazon.com/compliance/


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

AWSの部分は準拠済み


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

Network Security


Inventory & Config

Access Control

Data Security

ユーザはAWSがカバーしていない部分を準拠させれば良い

曖昧な部分もある


Region

Availability Zone



Network Security



Inventory & Config

Access Control

Data Security

このへん

• 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制

継承統制

• AWSから完全に継承される

• AWSが準拠していればユーザも準拠したものとみなされる

• 例えば、物理的や環境面など

ハイブリッド統制

• AWSが部分的な実装を提供

• AWSが一部に責任を持ち、残りはユーザが責任を持つ必要がある

• 例えば、アクセスコントロールなど

共有統制

• AWSが特定のレイヤの実装を提供

• あるレイヤはAWSが、あるレイヤはユーザが責任を持つ

• 例えば、パッチの適用、構成管理など

「AWSと当社の責任分界点はどこですか？」

AWSはこれを明確にしていますので、安心して自分の責任範囲に集中しましょう。

まとめ

クラウドを使ったら安全！

クラウドを使ったら危険！

適切なセキュリティ対策とってなかったら危険です

AWSのセキュリティは ◯◯◯◯モデル

AWSのセキュリティは責任共有モデル

自分の責任範囲に注力しましょう！

おしまし

Developers.IO 2016• 開催日時：2016年2月20日(土) • 開催場所：SAPジャパン(麹町)

88

Developers.IO 2016

http://devio2016.classmethod.jp/

2016.2.20@ SAP Japan

awsにおけるセキュリティの考え方

Technology